Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Invalidation de SafeHarbor : NetApp propose des stratégies alternatives pour le transfert de data

janvier 2016 par NetApp

Avec l’invalidation de l’accord SafeHarbor par l’UE et en attendant un éventuel SafeHarbor 2, nombre de sociétés prennent aujourd’hui des mesures dans la précipitation afin d’assurer leur conformité aux législations locales en matière de transfert de données. NetApp a adopté uneapproche différente.

Les sociétés qui transfèrent des données depuis ses 28 États membres (ainsi que l’Islande, le Liechtenstein, la Norvège et la Suisse) vers les États-Unis doivent trouver de nouveaux moyens pour que leurs données soient traitées conformément aux dispositions européennes en matière de protection des données. Désormais, cesont la législation européenne relative à la protection des données et les réglementations en vigueur dans chaque pays qui priment.

« Comme aucune période de transition spécifique n’est prévue, les entreprises n’ont plus de temps à perdre : elles doivent configurer leur infrastructure IT de façon à exécuter des stratégies de conformité distinctes en matière de confidentialité, mais aussi à anticiper les futures évolutions législatives, » souligne Marc Montiel, Directeur Général de NetApp France et Vice-Président NetApp région Europe du Sud

Plutôt que de dépendre du SafeHarbor, NetApp qui est basée aux Etats-Unis a choisi de procéder à la collecte, au traitement et au transfert des données depuis l’UE vers les États-Unis en s’appuyant sur les réglementations en vigueur dans chaque pays. La sociétéestautorisée à transférer les données personnelles selon les Règles d’entreprise contraignantes (BCR), qui représentent le niveau de conformité le plus strict appliqué au sein de l’UE. Seules 30 entreprises américaines satisfont aujourd’hui à ces exigences.

Enfin, NetApp recourt également à des clauses contractuelles type, des accords de confidentialité des données et des consentements, ainsi qu’à des mécanismes de collecte, de traitement et de transfert des données parfaitement réglementaires.

Pour rappel, les nouvelles réglementations disent que :

1. Les entreprises doivent veiller à conserver la maîtrise totale de leurs données, malgré l’utilisation du cloud. Dans le cas d’un environnement en cloud hybride, seule cette maîtrise permet à l’entreprise de démontrer que les données sont traitées en dehors d’un pays donné. En parallèle, il est essentiel que les entreprises sachent en permanence où et comment les fournisseurs cloud et leurs éventuels sous-traitants exploitent leurs centres de données dans le cloud. Ils doivent également disposer d’une vision claire des juridictions par lesquelles transitent les données et connaître le lieu oùellessontsauvegardées.

2. Bien souvent, les données existent en de multiples exemplaires : les données utilisateur, primaires ou générées par les applications peuvent être archivées, sauvegardées ou répliquées pour assurer la reprise après sinistre. La localisation du centre de données ne saurait résoudre à elle seule la complexité inhérente à la mise en conformité avec les règles de confidentialité des données.

3. Enfin, les entreprises doivent s’assurer qu’après avoir adopté les services dans le cloud, elles conservent un contrôle complet sur leurs données et processus. Cetterègles’applique non seulement aux données personnelles mais également aux informations-métier sensibles, telles que les données de propriété intellectuelle, de recherche et les informations clients. Sans compter que certains fournisseurs de solutions cloud ont recours à des tiers pour gérer leurs centres de données. Faute d’une parfaite transparence envers l’utilisateur final, cette situation expose l’entreprise à un risque accru d’uneperte de contrôle.




Voir les articles précédents

    

Voir les articles suivants